Софтодром   


В Drupal закрыто 10 уязвимостей



Новости    Программы



Разработчики Drupal выпустили обновление, устраняющее 10 уязвимостей в этой CMS-системе, в том числе весьма неприятный обход ограничений по доступу, позволявший использовать некоторые элементы, которые по идее должны быть заблокированы. Исправлен также один баг удаленного выполнения кода, сообщает «Лаборатория Касперского».

Как отмечено в бюллетене SA-CORE-2016-001, уязвимость обхода запрета, расцениваемая как критическая, открывала возможность для несанкционированного ввода данных в кнопочные элементы формы — к примеру, с помощью JavaScript. Эта проблема была решена ужесточением политики: «атакующий должен иметь доступ, чтобы отправить данные формы, для которой определены такие кнопки».

Остальные уязвимости не столь опасны и оценены как умеренно критические или менее критические.

Обход ограничений на выгрузку файлов и отказ в обслуживании в Drupal 7 и 8 позволяют заблокировать закачку на сайт многократным удалением временных файлов перед их сохранением. Уязвимость в системе XML-RPC открывает возможность для проведения брутфорс-атак.

Устранены также открытые редиректы, позволяющие подменять URL; баг в функции drupal_set_header(), чреватый внедрением HTTP-заголовка; отраженная уязвимость в ядре Drupal, с помощью которой можно заставить пользователя загрузить и открыть файл с произвольным JSON-контентом.

Наименее опасные баги, устраняемые свежим апдейтом, включают возможность десериализации пользовательских данных в ходе сессии Drupal, проблему с нестандартным вызовом функции user_save() API-интерфейса и раскрытие юзернейма, ассоциированного с адресом электронной почты.

Десериализация вводимых пользователем данных, по свидетельству разработчиков, чревата удаленным исполнением кода, однако эту уязвимость трудно тиражировать: она «требует необычного стечения обстоятельств для эксплойта и зависит от конкретного кода Drupal, работающего на сайте». Поскольку данная брешь проявляется на устаревших версиях PHP, от нее можно избавиться, обновившись до PHP 5.4.45, 5.5.29 или 5.6.13.

В результате применения патчей сборки Drupal 6.x обновятся до 6.38, 7.x — до 7.43, 8.0.x — до 8.0.4. Разработчики обращают внимание пользователей на то, что патчи для Drupal 6, включенные в данный набор, являются последними для этой версии CMS, срок ее поддержки на этом заканчивается.




Автор: Softodrom.ru
Дата:

Новое: Программы
09.07.2025 16:28

В национальном мессенджере МАХ стали доступны групповые видеозвонки

Длительность видеоконференции и количество участников в ней не ограничены


07.07.2025 22:27

Путин запретил Apple препятствовать установке RuStore на телефонах

Президент России Владимир Путин подписал закон, который запретит Apple препятствовать установке на ее гаджеты российского магазина приложений RuStore


30.06.2025 22:07

В национальном мессенджере зарегистрировали миллионного пользователя

Российская цифровая платформа МAX достигла отметки в миллион пользовательских регистраций на мобильных устройствах и компьютерах


27.06.2025 20:55

В Госдуме назвали условие ужесточения мер против Telegram и WhatsApp

До настоящего времени власти не хотели строго наказывать такие мессенджеры как WhatsApp и Telegram, чтобы не создавать неудобства для их многочисленных российских пользователей


24.06.2025 16:38

Путин подписал закон о создании в России национального мессенджера

Президент РФ Владимир Путин подписал закон об объединении функционала отечественных цифровых сервисов в едином приложении


Популярное: Программы
26.11.2017 04:13

Программы или приложения: как правильно?

Софтодром решил вспомнить те вышедшие из употребления слова, которые имеют отношение к информационным технологиям


29.11.2017 02:28

Что такое Portable-приложения

Софтодром рассказывает о том, что такое портативные приложения и в чем их преимущества перед непортативными


22.10.2023 21:43

Топ-20 лучших бесплатных программ для компьютера на Windows

Софтодром представляет подборку из 20 лучших бесплатных программ для компьютера на Windows в различных категориях


03.12.2017 01:04

Как скрыть папку на компьютере

Софтодром рассказывает о различных способах, которые позволяют скрыть папку или отдельные файлы в Windows


25.11.2017 23:25

Чем бесплатные программы отличаются от бесплатных программ

Софтодром попытался разобраться, почему некоторые бесплатные программы бесплатнее, чем другие, и существуют ли вообще бесплатные программы


Все рубрики статей (2001 / 199):


Программы | Авторам | Рассылки | Реклама
Copyright © 1999-2025 Softodrom.ru
О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта